Das große Problem der Sicherheitsexperten: Vertrauen in Webservices?

Worin liegt die wahre Lösung für die Unternehmenssicherheit? Einige nehmen an, sie könne in dem ominösen Allheilmittel zu finden sein, das von einer B2B-Revolution bis hin zu einem wirtschaftlichen Aufschwung alles lösen könne: Webservices.

Diese Aussicht ist erschreckend. Die berichteten Sicherheitsmängel stiegen von 2000 bis 2001 um 124 Prozent, und die neuesten Probleme sind außerdem sehr viel kostspieliger geworden. 1998 brauchte der Melissa-Virus noch vier Tage, um 400 Mio. US-Dollar an Schäden zu verursachen; Code Red benötigte nur noch wenige Stunden, um Schäden in Höhe von 2,62 Mrd. US-Dollar zu verursachen, so eine Statistik, die Andrew Briney, Chefredakteur von Information Security, im Rahmen einer von ihm moderierten Diskussion auf der Comdex anführte.

Weitere Redner waren Art Covellio, CEO von RSA Security, Gene Hodges, Präsident von Network Associates, Dan MacDonald, Vizepräsident von Nokia Internet Communications, Tom Noonan, CEO von Internet Security Systems, Bruce Schneier, Bestseller-Autor von zahlreichen Büchern zur Computersicherheit und CTO von Counterpane Systems sowie John Weinschenk, Vizepräsident der Enterprise Services Group für Verisign. Sie alle stimmten in ihren düsteren Prognosen bezüglich der Kontrolle der Sicherheit überein.

„Wir brauchen einen Wandel bei der Philosophie. Wir dachten immer, wir müssten die Netzwerke sicher machen. Wir müssen erkennen, dass dies nicht möglich ist“, so Schneier. Die Teilnehmer sprachen über Hoffnungen auf virtuelle Patches, über sicheren Code und beschuldigten insgesamt die heuristische Entwicklung des Internet: Die Anwender beeilten sich, die aufregende neue Technologie anzunehmen – und unterdessen implementierten sie mehr schlecht als recht Sicherheitsmaßnahmen, wann immer irgendwelche Probleme auftauchten.

Das am meisten verwünschte Problem im Rahmen dieser Sitzung war die schiere Größe von Windows-Programmen und die Unmöglichkeit, mit den ständig erscheinenden Patches Schritt zu halten. „.Net wird noch schlimmer, denn es wird noch größer. Komplexität ist der Feind. Ihretwegen verlieren wir den Kampf“, so Schneier, der, wann immer er Microsofts Ansatz kritisierte, Applaus und Jubel erntete.

Im Rahmen seines am Sonntagabend vorgetragenen Grundsatzreferates verteidigte Bill Gates Microsofts hohe Investitionen in Windows .Net Server. Aber was tut Microsoft eigentlich, davon abgesehen, dass sie Tausende von Ingenieuren und Entwicklern in Trainingslager bezüglich sichererem Code schicken, wobei die Ärmsten auch keine greifbaren Ergebnisse vorweisen können? Der Beitrag des Unternehmens zu den Sicherheitsnachrichten auf der Comdex war ein sehr geringer. Mike Nash, Vizepräsident von Microsofts Security Business Unit, sagte, dass das Unternehmen sein Bewertungssystem für Sicherheitsmängel von diesem Mittwoch an um eine vierte Stufe ergänzen wird. Neben der Kennzeichnung der Sicherheitsmängel als ‚gering‘, ‚mittel‘ und ‚kritisch‘ werden sie nun auch als ‚wichtig‘ gekennzeichnet, was bedeuten soll, dass man sich sofort um diese Mängel kümmern sollte, sie aber auch nicht wirklich als ‚kritisch‘ einzustufen seien. Die Anwender von Windows-XP werden nun durch Pop-ups auf die beiden letztgenannten Sicherheitshinweise aufmerksam gemacht.

Aber auch damit wird sich das Problem der Sicherheits-Patches nicht beheben lassen. „Es gibt einfach viel zu viele Patches. Ich bekomme jede Woche eine Sendung von 20 oder 30 Patches. Mindestens fünf oder sechs davon betreffen auch mich. Wäre ich ein Systemadministrator, müsste ich jeden Tag einen Patch anbringen. Und jeder weiß, dass [Patches] immer irgendetwas zerstören“, so Schneier. „Viele Menschen reden über diese Sicherheitsmängel wie über das Wetter – wie über etwas Unvermeidbares. Aber es sind ganz einfach Fehler“, sagte er und beklagte den Mangel an Weitsicht, den Entwickler bei dem Versuch erkennen ließen, sicheren Code zu erstellen.